Dodatek 4. Wymagania pliku IOC
Podczas tworzenia zadań Skanowanie IOC rozważ następujące ograniczenia i wymagania pliku IOC:
- Aplikacja obsługuje pliki IOC z rozszerzeniami IOC i XML w otwartym standardzie OpenIOC w wersjach 1.0 i 1.1 dla opisania wskaźników naruszeń bezpieczeństwa.
- Jeśli podczas tworzenia zadania Skanowanie IOC w wierszu polecenia przesłałeś pliki IOC, z których niektóre nie są obsługiwane, gdy zadanie jest uruchomione, aplikacja używa tylko obsługiwanych plików IOC. Jeśli podczas tworzenia zadania Skanowanie IOC w wierszu polecenia wszystkie pliki IOC, które przesyłasz, okażą się nieobsługiwane, zadanie wciąż może być uruchomione, ale nie wykryje żadnych wskaźników naruszeń bezpieczeństwa. Nie jest możliwe przesłanie nieobsługiwanych plików IOC przy użyciu konsoli Web Console lub Cloud Console.
- Błędy semantyczne i nieobsługiwane warunki IOC i znaczniki w plikach IOC nie powodują błędu wykonania zadania. W takich sekcjach plików IOC aplikacja nie wykrywa dopasowania.
- Identyfikatory wszystkich plików IOC używane w pojedynczym zadaniu Skanowanie IOC muszą być unikatowe. Jeśli istnieją pliki IOC z takim samym identyfikatorem, mogą wpłynąć na wyniki wykonania zadania.
- Rozmiar pojedynczego pliku IOC nie może przekraczać 2 MB. Używanie większych plików spowoduje zakończenie zadania Skanowanie IOC z błędem. Całkowity rozmiar wszystkich plików dodanych do zbioru IOC nie może przekroczyć 10 MB. Jeżeli łączny rozmiar wszystkich plików przekracza 10 MB, należy podzielić kolekcję IOC i utworzyć kilka zadań Skanowanie IOC.
- Zalecane jest utworzenie jednego pliku IOC na zagrożenie. To ułatwia analizowanie wyników zadania Skanowanie IOC.
Plik, który możesz pobrać, klikając poniższy odnośnik, zawiera tabelę z pełną listą warunków IOC standardu OpenIOC.
Funkcje i ograniczenia obsługi aplikacji dla standardu OpenIOC są wyświetlone w poniższej tabeli.
Funkcje i ograniczenia obsługi OpenIOC w wersji 1.0 i 1.1.
Obsługiwane warunki | OpenIOC 1.0:
OpenIOC 1.1:
|
Obsługiwane atrybuty warunku | OpenIOC 1.1:
|
Obsługiwane operatory |
|
Obsługiwane typy danych |
|
Funkcje interpretacji typu danych | Typy danych Aplikacja obsługuje interpretację ustawienia OpenIOC 1.0: Przy użyciu operatora
OpenIOC 1.1: Przy użyciu warunków Przy użyciu operatora Aplikacja obsługuje interpretację typów danych |